首頁猿問 CORS政策會阻止非瀏覽器請求訪問...

CORS政策會阻止非瀏覽器請求訪問資源嗎？

.NET

鴻蒙傳說 2019-10-04 14:18:01

據我了解，使用CORS模塊將從Access-Control-Allow-Origin資源中刪除標頭，從而導致XmlHttp請求從瀏覽器失敗。但是，這是否阻止了來自CURL或其他本機應用程序/ Web服務器的Http請求（即通過PHP編寫并運行的請求）成功從該資源檢索數據？

查看完整描述

3 回答

翻過高山走不出你

TA貢獻1875條經驗獲得超3個贊

但是，這是否阻止了來自CURL或其他本機應用程序/ Web服務器的Http請求（即通過PHP編寫并運行的請求）成功從該資源檢索數據？

不，這不會阻止任何其他客戶端成功獲取資源。

CORS協議僅由瀏覽器強制執(zhí)行。它不是由服務器強制執(zhí)行的。如果請求中缺少一些CORS詳細信息，則服務器不是以某種方式阻止請求或拒絕發(fā)送響應的情況并非如此。

而是在服務器上配置CORS支持時，服務器所做的所有不同操作只是發(fā)送Access-Control-Allow-Origin響應標頭和其他CORS響應標頭。

該協議的工作方式是，無論您在服務器端進行哪種CORS配置，所有客戶端（甚至是瀏覽器）都像往常一樣繼續(xù)從服務器獲取響應。但是不同之處在于，如果curl其他本地應用程序或后端服務器端編程環(huán)境（例如PHP）不包含Access-Control-Allow-Origin響應標頭，則不會阻止您的客戶端代碼訪問響應。但是瀏覽器會。

具體而言，即使您在瀏覽器devtools中看到前端JavaScript代碼的跨域請求失敗的錯誤，您仍可以在瀏覽器devtools中看到響應。

但是，僅僅因為您的瀏覽器可以看到響應并不意味著瀏覽器會將其公開給您的前端JavaScript代碼。瀏覽器僅將跨域請求的響應公開給在特定來源運行的前端代碼（如果將請求發(fā)送到的服務器通過Access-Control-Allow-Origin允許該來源的標頭進行響應來選擇加入以允許該請求）。

但是瀏覽器是唯一這樣做的客戶端。瀏覽器是唯一實現CORS協議的客戶端。curl或其他本機應用程序或后端服務器端環(huán)境（例如PHP）未實現CORS協議，因此您無法通過在服務器端進行任何CORS配置來阻止來自它們的請求。

因此，如果您要阻止來自非瀏覽器客戶端的對資源的請求，則需要使用CORS配置以外的方法來進行請求。

反對回復 2019-10-04